Ransomware-angrep skapte hodebry
Den aktuelle kunden var midt i et ransomware-angrep, og er en av Norges største aktører på engros- og detaljhandel. Organisasjonen består av et stort antall avdelingskontorer over hele Norge.
It Cloud var forhandlerens driftspartner. De kom til Sicra fordi de hadde erfaring med oss fra før av. De trengte en partner med høy teknisk kompetanse som kunne bistå med å få opp en sikkerhetsløsning raskt.
Sammen utformet vi et nytt design og en ny og mer komplett sikkerhetsløsning.
Kunden stod overfor et ransomware-angrep
Kunden ble utsatt for et kraftig ransomware-angrep, og alle serverne var kryptert og lokal brannmur var skrudd av. De hadde behov for en komplett sikkerhetsløsning med en ny segmenteringsplan.
Firmaet hadde en sentralisert sikkerhetsløsning fra en internettleverandør som ikke var riktig konfigurert, og med en utilstrekkelig nettverksegmentering. Det var stor mangel på trafikkflyt internt i bedriften og kryptert trafikk (SSL) mot internett ble ikke inspisert.
Hvorfor er ransomware-angrep farlig for bedrifter?
Organisasjonen arbeider med et massivt volum av kundeinformasjon hver eneste dag. Spesielt finansdataene er et ettertraktet mål for cyberkriminelle. En god sikkerhetsplan er derfor helt essensielt.
Trusselen fra cyberangrep har blitt så alvorlig at Den Føderale Handelskommisjonen (FDR) i USA nylig oppdaterte «The Safeguard Rule» som lager nye sikkerhets- og prosedyrestandarder. Et regelverk som har vært på plass for selskaper siden juni 2023.
Engros og detaljehandlere står derfor overfor strengere compliance-krav enn før. I likhet med en rekke andre bransjer som behandler personsensitive data.
Sicras løsning på problemet
På grunn av ransomware-angrepet var det viktig at de fikk full oversikt over nettverkstrafikken og endepunktprosessene sine. En oversikt over trafikken og endepunktene var spesielt viktig mens servere og klienter ble lagt tilbake i infrastrukturen.
Sicra løste problemet ved å legge til nye L3-soner, segmenterte eksisterende L3-design inn i mindre L2-sikkerhetsoner, og la til virtual-wire for DMZ-trafikk. I tillegg benyttet vi Cortex XDR™ Pro for analyse av både servere og endepunktklientene.
Når disse sikkerhetsmekanismene var på plass, kunne vi trygt begynne med å legge tilbake servere som hadde blitt renset.
Ved hjelp av innsamling av logger via Cortex XDR fikk vi full synlighet på all nettverkstrafikk samt logger fra mail-gatewayer, servere og klienter.
Sicra jobbet med kundens team for å sette opp en entreprise Palo Alto Networks brannmurløsning i en redundant konfigurasjon med forskjellige sikkerhetssoner basert på risiko- og tilgangsprofiler.
Brannmurene integrerte vi med Palo Alto Networks teknologi kalt Cloud Identity Engine for å hente brukere og grupper fra Microsoft Azure og kundens AD-servere.
Hvilke tillitsprinsipper ble iverksatt?
Brukerbaserte adgangskontroller ble konfigurert med dedikerte regler og grupper til bestemte ansatte med GlobalProtect™.
Ved å bruke Iron Skillet som en baseline, ble alle sikkerhetsregler lagd med komplette sikkerhetsprofiler, og med forskjellige sikkerhets-policyer og -profiler for innkommende, utgående og intern trafikk.
Vi aktiverte Cortex XDR Pro på alle klienter og servere (800 endepunkter) med alle innstillinger satt til blokkeringsmodus som standard, og med blokkering av “grayware” i tillegg.
Vi satte opp Cortex Broker VM med Windows Event Collection for oppsamling av alle sikkerhetshendelser fra AD-servere og andre kritiske servere.
Utrullingsprosessen
Prosjektet startet i mars 2022 og datasenterkomponentene ble ferdige i februar 2023.
Prosjektet involverte tre Sicra-ingeniører og to folk fra kundesiden, støttet av en sikkerhetskonsulent fra Palo Alto Networks.
Sicra begynte i datasenteret, og satte opp Palo Alto brannmurene i en redundant konfigurasjon (HA) og med over 40 sikkerhetssoner.
Strenge regler ble deretter iverksatt mellom alle sikkerhetssoner der det kun ble tillat med nødvendige applikasjoner og service-porter som var dokumentert og basert på Zero Trust-prinsipper.
Det neste vi gjorde var å hente ut logger fra brannmuren, Windows DHCP servere, ProofPoint Targeted Attack Protection, Office 365 og Palo Alto Networks “IoT Security” og koble disse mot Cortex XDR.
Fra starten av februar 2023 ble prosjektet utvidet med å installere PA-baserte brannmurer i alle utelokasjoner basert på komplett segmentering og synlighet. Det samme regelsettet som på datasenteret.
Målet er å bli ferdig med å installere brannmurene mot slutten av 2024.
En ny og tryggere sikkerhetshverdag
Mangelen på synlighet og kontroll førte til store kostnader for denne kunden.
Aktøren har nå en ny og komplett sikkerhetsinfrastruktur fra Palo Alto Networks®, Proofpoint Mail Gateway, “Microsoft 365 Modern Workspace” med Intune plattformen. Dette har gjort at drifts- og sikkerhetshverdagen nå er helt annerledes for dem.
For kjerneinfrastruktur og adgang til driftskritiske applikasjoner har de definert om en ny og herdet Horizon VDI plattform. Alle komponenter reviderte vi i henhold til CIS Benchmarks.
Utover en sikkerhetsplattform utrykte kunden også et sterkt ønske om en SOC-tjeneste for overvåking 24/7 hvor alle loggkilder ble synliggjort. Vi laget en teknisk kravspesifikasjon, og valgte Arctic Wolf som partner basert på denne.
Dette har ført til at kunden har fått en enkel oversikt over alle risikoer og hendelser. Alle logger ligger sentralt og de har full synlighet på alle endepunkter og servere.
Sicra ga kunden en sikkerhetsløsning som var lett å forstå. Det gjør det lettere å utføre endringer ved behov.
Sicra styrket kundens cybersikkerhet betraktelig. Det gjør at kunden har fått en mer avslappet og bedre jobbhverdag. I tillegg sover de bedre om natta nå som virksomhetens sensitive data er mindre sårbare for datainnbrudd.
Les mer
Oslo Taxi sikrer plattformen for fremtiden med Sicra og River Security
Malling ønsket en sikkerhetsgjennomgang av sitt M365-miljø
Fjernet falsk trygghet hos Montel
